spirit-of-eli
Goto Top

Coturn TLS Verschlüsselung hat Probleme mit Certbot

Moin zusammen,

nach dem ich feststellen durfte, dass bei meinem Nextcloud Talk Server keine Video oder Audio Verbindung mehr möglich war, habe ich mir das Thema näher angeschaut.

Kurz um gab es anscheint ein Update seitens Certbot wodurch die Zertifikate nicht mehr im Verzeichnis "letsencrypt - live" liegen. Diese werden nun im Ordner "letsencrypt - archive" abgelegt und die aktuelle Version per Symlink in das "live" Verzeichnis gemappt.

Das Resultat ist folgendes. Im Coturn definiert man zu Absicherung via TLS den Speicherort der Zertifikate im Certbot. Jedoch kann Coturn auf Grund von Rechte Verschärfung der Verzeichnise weder auf "live" noch auf "archive" zugreifen, bzw die Zertifikate nicht lesen.
https://github.com/coturn/coturn/issues/496#issuecomment-606533463

Ein kurzer Workaround, anderen Usern wieder lese/ausführen Rechte geben.
chmod +x -R
auf beide Verzeichnise
Was ich allerdings nicht verstanden habe ist der Punkt, dass Nginx ohne Probleme trotz der Änderung funktioniert.


Gruß
Spirit

Content-Key: 570101

Url: https://administrator.de/contentid/570101

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: wiesi200
wiesi200 07.05.2020 um 09:09:37 Uhr
Goto Top
Hallo,

Chmod +x bedeutend doch ausführbar und nicht lesezugriff
Mitglied: Spirit-of-Eli
Spirit-of-Eli 07.05.2020 um 09:14:19 Uhr
Goto Top
Zitat von @wiesi200:

Hallo,

Chmod +x bedeutend doch ausführbar und nicht lesezugriff

Wenn ich dem hier Folge:
Short version
chmod +x is equal to chmod ugo+x (Based on umask value)
Wird lesen und ausfuhren akkumuliert.
Mitglied: wiesi200
wiesi200 07.05.2020 um 09:30:05 Uhr
Goto Top
Ja natürlich brauchst du für ausführen auch lesen.

Aber +x ist was anderes als rein Lesezugriff.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 07.05.2020 aktualisiert um 10:07:17 Uhr
Goto Top
Ganz ehrlich, mir wäre es lieber die Rechte gar nicht anfassen zu müssen. Anscheinend gibt es ja auch eine andere Funktion welche z.b. von Nginx aber eben nicht von Coturn umgesetzt wird.
Ohne Anpassung hat schließlich nur "root" Zugriff auf die Dateien.

Der Webserver sowie der Turnserver laufen beide unter einem separaten user.

Edit: Ich habe die Definition oben korrigiert.
Mitglied: wiesi200
wiesi200 07.05.2020 um 10:47:15 Uhr
Goto Top
Aber jetzt verstehst du vielleicht auch warum Nginx auch so läuft. Die leserechte waren vermutlich vorhanden und reichen normalerweise auch.

Coturn braucht hier aus irgendeinem unverständlich Grund mehr. Ich tippe mal auf Programmierfehler in der Prüfung des Zertifikats
Mitglied: Spirit-of-Eli
Spirit-of-Eli 07.05.2020 um 12:22:29 Uhr
Goto Top
Das Problem besteht in Punkt bei dem Symlink. Anders als einige. vermuten kann Coturn tatsächlich dem Symlink folgen. Aber auf dem Archiv Ordner waren die entsprechenden rechte nicht vorhanden. Bzw. wurde diese Konstellation wohl erst durch ein Certbot update geschaffen. Zu vor lagen die Files ja tatsächlich im Ordner "live" und waren abrufbar. Nach dem Certbot update war dies nicht mehr möglich.

Ich müsste jetzt tatsächlich testen wie es bei einer älteren Certbot Version ausgesehen hat.

Ich stecke aber auch nicht tief genug in programmier Themen drin als das ich nachvollziehen kann, wie Coturn tatsächlich handeln müsste oder können sollte.